J-SOXの整備状況評価では、ウォークスルーと呼ばれる手法が利用されます。具体的には、評価対象のプロセスに対して、少なくとも一つの取引をサンプルとして選定し、取引の開始から財務報告に反映されるまでの一連の業務処理過程を、業務プロセスに沿って追跡調査します。ウォークスルーを実施する最終の目的はキーとなる重要なコントロールを確定することにありますが、どのように実施していくのが望ましいでしょうか。
J-SOXにおける業務プロセスに係る内部統制では”3点セット”と呼ばれる文書が盛んに作成されました。制度導入前も企業内に内部統制は存在しましたが、暗黙のうちに運用されているところがありました。それが制度の要請で、経営者が評価する必要が出てくると、評価するために目に見える形で内部統制を表すことが必要になったというのが背景にあります。
ところが、監査資料として監査人が詳細に見るRCMばかりに注力してしまい、企業にとって一番ベースにある業務プロセスは軽視される傾向が一部でありました。例えば、可視化した業務プロセス(フロー図)を、RCMを理解(リスクがどこの業務で発生しているかを識別)するための補助資料としてのみ利用しているケースが典型的な例です。
前回記事で参照した改善報告書では、内部統制の状況を可視化(文書化)したもののそれ以降検証がなされなかったとあります。
財務報告に係る内部統制(J-SOX)事務局(略)においては、対象会社の内部統制文書(業務記述書、RCM(リスク・コントロール・マトリックス)、フロー図)の評価プロセスにおいて、是正すべき点があったかどうかについての検証がなされなかったので、適切な内部統制の整備・運用が不十分でした。
[改善報告書より引用、下線部は筆者にて加工]
ウォークスルーとは業務プロセスに沿って現場を辿ること
ウォークスルーの実施を自分でしたことがある方は、現場とのコミュニケーションに苦労した経験があるのではないでしょうか。
ウォークスルーでは現場担当者の方に話を聞くのですが、監査用資料であるRCMを使った説明・ヒアリングは難しいと思われます。現場担当者とは業務プロセスを使って説明・ヒアリングし、その中でリスクとコントロールの情報を確認する際にRCMを利用するのが上手に進めるコツです。整備状況の評価は可視化した業務プロセス、リスク、コントロールの記述内容の正確性及び実際の業務への適用状況を検証するのが目的ですから、メインでおさえるべきは業務プロセスとなります(業務がなければリスクもコントロールも存在しません)。
業務記述書の内容は業務プロセスへ統合する
文書化の方針として、RCMを作成し、そこに記載されているリスクとコントロールがどこの業務か説明するために業務プロセス(フロー図)で簡単な業務の流れを描き、さらに業務プロセス(フロー図)では細かな業務内容までわからないので業務記述書に個々の業務内容を記載する、といったアプローチが見受けられました。こちらもウォークスルーを実施した経験のある方は、業務記述書を現場で使用することのむずかしさを感じたのではないでしょうか。
質問、観察、検証、再実施などの手法を組み合わせて現場で検証を進める際に、3つの文書を参照するのは大変です。文書間の整合性を維持するなどメンテナンス作業負荷も無視できません。仮に業務プロセスに業務の流れ(フロー)・部門間の関係・役割分担・使用している情報システム・インプットおよびアウトプット情報といった、業務記述書に記載する内容をも業務プロセスの中に埋め込んで作成するのであれば、業務記述書の作成が不要となります(結果として、業務プロセスとRCMの2点)。業務プロセスは現場も馴染みやすく、業務プロセスを中心に据えてウォークスルーをすると、現場部門とのコミュニケーションも取りやすく、リスクや対応するコントロールの共有、キーコントロールに対するお互いの理解が深まります。